15320004362

微软发现:神秘的勒索软件 Prestige 正在针对乌克兰、波兰的运输和物流组织

日期:2022-10-19 21:55:46 访问:1372 作者:必火安全学院
微软发现:神秘的勒索软件 Prestige 正在针对乌克兰、波兰的运输和物流组织
必火网络安全学院,实打实的为就业而生,为年薪30W而战!
五个月零基础到精通,从网络协议路由到系统安全、从代码编程PHP、python到代码审计SRC漏洞挖掘、从脚本安全到CTF全面解析。
网络信息安全攻防培训,必火质量第一,实至名归。全天上课,包高薪就业。
第19期网络安全就业班:2023年07月19日 开班地点:天津
第20期网络安全就业班:2023年08月28日 开班地点:北京
CISP/CISSP/CISP-PTE/CISA/CISW...网络安全证书认证
微软发现:神秘的勒索软件 Prestige 正在针对乌克兰、波兰的运输和物流组织


微软报告称,新的 Prestige 勒索软件正被用于针对乌克兰和波兰的运输和物流组织的攻击。Prestige 勒索软件于10月11日首次出现在威胁环境中,所有受害者在一小时内相互攻击。



该活动的一个显著特点是,很少看到威胁行为者试图将勒索软件部署到乌克兰企业的网络中。微软指出,该活动与它正在跟踪的94个当前活跃的勒索软件活动组中的任何一个都没有关联。



微软威胁情报中心 (MSTIC) 发布的报告中写道:“该活动与最近与俄罗斯国家相关的活动,特别是在受影响的地区和国家,并与FoxBlade恶意软件(也称为HermeticWiper)的先前受害者重叠”。



HermeticWiper是网络安全公司ESET和博通旗下赛门铁克的研究人员于2月发现的破坏性擦除器,其恶意代码被用于袭击乌克兰数百台机器的攻击。



微软注意到,该活动不同于最近利用 AprilAxe (ArguePatch)/ CaddyWiper或Foxblade (HermeticWiper) 的破坏性攻击,这些攻击在过去两周袭击了乌克兰的几个关键基础设施组织。



MSTIC 尚未将这些攻击归因于已知的威胁组,同时,它正在跟踪该活动作为 DEV-0960。在目标网络中部署勒索软件之前, 使用以下两个远程执行使用程序观察了威胁参与者:



RemoteExec – 一种用于无代理远程代码执行的商用工具

Impacket WMIexec – 一种基于开源脚本的远程代码执行解决方案 DEV-0960 在一些攻击中使用以下工具来访问高权限凭证:

winPEAS – 在 Windows 上执行权限提升的开源脚本集合

comsvcs.dll – 用于转储 LSASS 进程的内存并窃取凭据

ntdsutil.exe – 用于备份 Active Directory 数据库,可能供以后使用凭据


“在所有观察到的部署中,攻击者已经获得了对域管理员等高权限凭证的访问权限,以促进勒索软件的部署。” 继续报告。“目前尚未确定初始访问向量,但在某些情况下,攻击者可能已经从先前的妥协中获得了对高特权凭据的现有访问权限。”







Microsoft Office 365消息加密(OEM)被曝采用不安全的操作模式





概述



Microsoft Office 365 消息加密(OME)采用电子密码本(ECB)操作模式。这种模式通常是不安全的,可能会泄露所发送消息的结构方面的信息,这可能导致部分或全部消息泄露。正如美国国家标准与技术研究所(NIST)发布的《提议修订特别出版物 800-38A 的公告》所述:" 在 NIST 全国漏洞数据库(NVD)中,使用 ECB 加密机密信息构成了严重的安全漏洞;比如,参阅 CVE-2020 -11500:https://nvd.nist.gov/vuln/detail/CVE-2020-11500。"



描述



Microsoft Office 365 提供了一种发送加密消息的方法。微软声称该功能让组织可以以一种安全的方式在组织内外的人员之间发送和接收加密的电子邮件。遗憾的是,OME 消息是在不安全的电子密码本(ECB)操作模式下被加密的。



影响



由于 ECB 泄露了消息的某些结构信息,如果第三方可以访问加密电子邮件消息,也许就能够识别消息内容。这会导致机密性可能丧失。





图 1. 从 Office 365 邮件加密保护的电子邮件中提取的图像



由于加密消息是作为常规电子邮件附件发送的,因此发送的消息可能会存储在各种电子邮件系统中,可能已被发送者和接收者之间的任何有关方截获。



如果攻击者拥有庞大的消息数据库,可以通过分析截获消息的重复部分的相对位置,推断其内容(或部分内容)。



大多数 OME 加密消息都受到影响,攻击者可以对任何之前发送、接收或截获的加密消息离线执行攻击。组织无法阻止已经发送的消息被人分析,也无法使用权限管理功能来解决这个问题。



视通过加密消息发送的内容而定,一些组织可能需要考虑该漏洞的法律影响。正如欧盟《通用数据保护条例》(GDPR)、《加利福尼亚州消费者隐私法》(CCPA)或其他类似法规所述,漏洞可能会导致隐私受到影响。



细节



电子密码本(ECB)操作模式意味着每个密码块都单独加密。明文消息的重复块总是映射到相同的密文块。实际上,这意味着虽然实际的明文并不直接显示,但消息结构方面的信息却直接显示。这是在 ECB 操作模式下经过 AES 加密的 RAW 图像:





虽然不知道实际的单个像素值,但可以轻松识别图像的实际内容。



即使特定消息不会以这种方式直接泄露信息,拥有大量消息的攻击者仍可以分析文件中重复模式的关系来识别特定文件。这可能导致加密消息的(部分)明文能够推断出来。



不需要知道加密密钥就可以利用该漏洞,因此自带密钥(BYOK)或类似的加密密钥保护措施没有任何补救方面的影响。



用于 Microsoft Office 365 消息加密的密码似乎是高级加密标准(AES)。然而面对这个漏洞,实际的密码无关紧要,因为无论使用何种密码,ECB 操作模式都具有相同的属性。



CWE-327:使用损坏或有风险的加密算法



Outlook 365 消息加密在将邮件加密成 RPMSG blob 时使用电子密码本(ECB)操作模式。



这个漏洞的根本原因似乎是事先决定使用具有消息加密功能的电子密码本(ECB)操作模式,然后一直采用这个糟糕的决定。



Microsoft 信息保护(MIP)ProtectionHandler::PublishingSettings 类有一个 SetIsDeprecatedAlgorithmPreferred 方法,文档对该方法描述如下:



" 设置是否优先使用被废弃的加密算法(ECB)以实现向后兼容性。"



OME 很可能使用这种方法来启用 RPMSG 的 ECB 加密。如果未设置该标志,则使用密码块链接(CBC)操作模式。



Microsoft 信息保护 FIPS 140-2 合规文档提到:



" 旧版 Office(2010)需要 AES 128 ECB,而 Office 文档仍以这种方式受到 Office 应用程序的保护。"



缓解措施



在多次询问漏洞状态后,微软最终回复如下:



" 我们认为漏洞报告不符合安全服务标准,也不被认为是泄密事件。没有更改代码,因此没有为此报告发布 CVE。"



电子邮件系统的最终用户或管理员无法强制执行更安全的操作模式。由于微软没有计划修复该漏洞,唯一的缓解措施是避免使用 Microsoft Office 365 消息加密。



资料卡



类型:使用损坏或有风险的加密算法



严重程度:很高



受影响的产品:Microsoft Office 365



缓解措施:由于微软没有计划修复这个漏洞,唯一的缓解措施就是避免使用 Microsoft Office 365 消息加密。



感谢:感谢 WithSecure Consulting 公司的 Harry Sintonen 发现漏洞。



参考:MSRC VULN-060517



时间线



2022-01-11 发现漏洞。通过 MSRC 报告该漏洞,编号为 VULN-060517。



2022-01-19 微软发放赏金 5000 美元。



2022-05-19 就问题的状态与微软取得联系,没有收到回复。



2022-08-29 向微软告知计划公开披露。



2022-09-21 微软对此问题进行了跟进,声称 " 我们认为漏洞报告不符合安全服务标准,也不被认为是泄密事件。没有更改代码,因此没有为此报告发布 CVE。"



2022-10-14 WithSecure 发布公告。